Autorisation générale de lever le secret professionnel à des fins de recherche dans les domaines de la médecine et de la santé publique La Commission d'experts du secret professionnel en matière de recherche médicale, a lors de la séance plénière du 13 avril 2000, en se fondant sur l'art. 321bis du code pénal, du 21 décembre 1937 (CP; RS 311.0) et les art. 1, 3, al. 1, 9, al. 5, 10, 11 et 13 de l'ordonnance du 14 juin 1993 concernant les autorisations de lever le secret professionnel en matière de recherche médicale (OALSP; RS 235.154), dans la cause Hôpital universitaire de Zurich (USZ) concernant la demande d'autorisation générale du 30 avril 1998 de lever le secret professionnel au sens de l'art.
321bis CP à des fins de recherche dans les domaines de la médecine et de la santé publique, décidé:
1
Titulaire de l'autorisation
Une autorisation générale de lever le secret professionnel au sens des art. 321bis CP et des art. 3, al. 1 et 2, et 11 OASLP est octroyée à l'Hôpital universitaire de Zurich, aux conditions et aux charges mentionnées ci-après.
L'autorisation est liée à la personne responsable des soins médicaux de l'Hôpital universitaire de Zurich, soit actuellement le directeur médical, le prof. dr méd.
V. E. Meyer.
Cette autorisation permet au personnel de l'Hôpital universitaire de Zurich chargé de recherches internes et aux candidats au doctorat d'accéder aux données personnelles non anonymes des patients pour effectuer de la recherche dans les domaines de la médecine et de la santé publique.
Elle autorise celui qui détient des données non anonymes à les divulguer sans violer pour autant son secret professionnel. Ceci n'est valable qu'à l'intérieur de l'Hôpital universitaire de Zurich, titulaire désigné de l'autorisation. Une demande d'autorisation particulière doit être déposée auprès de la Commission d'experts si des projets de recherches impliquent des données non anonymes d'autres cliniques ou d'autres instituts, ou si des groupes de chercheurs externes doivent avoir accès aux données non anonymes conservées à l'Hôpital universitaire de Zurich.
2
But et portée de la communication des données
L'autorisation comprend le droit d'avoir accès aux données utiles aux projets de recherches qui sont contenues dans les dossiers papiers et les banques de données internes de l'Hôpital universitaire de Zurich.
2000-1466
3735
3
Conditions
Les données des patients, dont le consentement n'est pas particulièrement difficile à obtenir, et pour lesquels aucun dommage relevant n'est causé, ne peuvent pas être utilisées à des fins de recherche sur la base de cette autorisation.
Des données non anonymes ne doivent être utilisées que si le projet de recherche ne peut pas être mené avec des données anonymes.
Les patients doivent être informés qu'ils peuvent s'opposer à la communication des données les concernant. Lorsque la transmission des données a été refusée, elles ne doivent pas être utilisées pour de la recherche.
Le directeur médical responsable est chargé de garantir la protection et, le cas échéant, le respect de l'interdiction d'utilisation de données.
4
Fichiers et personnes habilitées à accéder aux données a.
L'Hôpital universitaire de Zurich doit veiller à ce que les données personnelles soient entièrement séparées des données déjà anonymisées.
b.
Les collaborateurs de l'Hôpital universitaire de Zurich, ainsi que les candidats au doctorat au bénéfice d'une autorisation du responsable de la recherche, du médecin-chef compétent ou du chef de clinique, ont accès à des fins de recherche, au nouveau matériel de données. En cas de nécessité, un nouvel accès aux données déjà traitées peut être autorisé. Après l'achèvement de la recherche, une autorisation du médecin chef doit être requise pour tout nouvel accès aux données.
5
Durée de la conservation des données personnelles
Un délai pour la conservation relève du droit cantonal. La destruction de ces données doit être effectuée selon les prescriptions du préposé cantonal à la protection des données.
6
Mesures en vue de l'anonymisation des données
Les données prélevées des banques de données de l'Hôpital universitaire de Zurich doivent être rendues anonymes dès le début des recherches.
7
Critères d'identification
Il doit être garanti qu'aucune identification des personnes ne soit possible en cas de publication basée sur les données collectées.
3736
8
Charges liées à l'autorisation a.
Pour chaque projet de recherche, le requérant doit obtenir de la Commission d'éthique interne de l'hôpital une déclaration «non-obstat». En l'espèce, c'est la commission d'éthique de l'hôpital qui est compétente. Elle doit vérifier que chaque projet de recherche soit conforme à l'éthique, ainsi qu'aux dispositions légales de la protection des données.
Avant de transmettre les projets de recherche à la commission d'éthique, le délégué à la recherche de chaque institut ou clinique devra se prononcer sur l'intégralité des données. Par données indispensables, il faut comprendre la description du thème de la recherche, la publication du directeur responsable de l'institut ou de la clinique et du chef responsable du groupe de recherche; ainsi que les motifs pour lesquels, il est nécessaire de consulter des données non anonymes, le consentement des intéressés ne peut être obtenu qu'à grands frais, que les intérêts de la recherche priment l'intérêt au maintien du secret et que l'intéressé ait été informé de son droit de veto.
Après l'examen de la demande de recherche par le délégué à la recherche, cette demande sera transmise à la commission d'éthique de la recherche spécialement constituée qui délivrera une déclaration de non-opposition. Cette dernière doit être visée par le président de la direction de l'hôpital.
Si cette déclaration est refusée, le projet de recherche ne pourra pas se baser sur cette autorisation générale; dans ce cas, l'obtention d'une autorisation particulière reste réservée.
b.
Les données personnelles doivent être protégées du traitement non autorisé par des mesures techniques et organisationnelles appropriées. Le titulaire de l'autorisation se référera au «Guide relatif aux mesures techniques et organisationnelles de la protection des données», édité par le Préposé fédéral à la protection des données. En particulier, il faut être attentif aux éléments suivants: les données personnelles non anonymisées, soit les recueil de données informatiques, les dossiers médicaux et les cartothèques des patients doivent être gardés sous clé, l'accès aux banques de données informatisées doit être protégé par un mot de passe personnel, chaque personne habilitée à accéder aux fichiers informatiques doit disposer d'un mot de passe qu'il garde secret, et chaque accès aux banques de données personnelles non anonymisées du système informatique sur réseau doit être enregistré automatiquement, à moins que l'on puisse vérifier d'une autre manière que les données ont été traitées dans le but pour lequel elles ont été révélées.
c.
Les oppositions formulées contre l'utilisation des données à des fins de recherche doivent être indiquées sur les cartothèques respectives ainsi que dans les fichiers des données du système informatique.
d.
Tous les projets de recherche interne et les travaux de doctorats de l'Hôpital universitaire de Zurich doivent être enregistrés et annoncés annuellement au Président de la Commission d'experts via le Secrétariat de la Commission.
L'annonce doit contenir les indications suivantes: 3737
e.
le titre de la recherche; l'estimation du nombre de personnes concernées par ce projet, les critères de sélection de celles-ci et le but de la recherche; le nom de la personne dirigeant la recherche; le nom des personnes ayant accès aux données personnelles non anonymes; pour chaque projet de recherche, la preuve d'une information «non obstat» de la commission d'éthique compétente selon la lettre a.
L'Hôpital universitaire de Zurich doit édicter un règlement d'accès aux données qu'elle soumettra pour approbation au Président de la Commission d'experts via son secrétariat.
Celui-ci indiquera notamment à quel titre les collaborateurs ont accès à des fins de recherche aux données personnelles non anonymes, ainsi qu'aux cartothèques des patients. L'accès aux données non anonymes doit être refusé aux personnes qui mènent une recherche, mais qui ne sont pas ellesmêmes au bénéfice d'une autorisation d'accès. En particulier, seules des données anonymes peuvent être mises à la disposition des autres hôpitaux, instituts et groupes de recherches externes.
L'ensemble du personnel concerné par cette autorisation doit signer la déclaration, annexée à la présente décision, concernant leur obligation de garder le secret en vertu de l'art. 321bis CP; un exemplaire doit être conservé à l'Hôpital universitaire de Zurich, à la disposition de la Commission d'experts.
9
Durée de validité de l'autorisation et confirmation
L'autorisation est octroyée pour une durée de cinq ans à partir de son entrée en force sous réserve d'une des conditions résolutoires suivantes: -
changement du directeur médical;
-
changement du concept à trois niveaux pour l'exécution des charges prévues dans la décision d'autorisation;
-
changement de la commission d'éthique;
-
changement du système de traitement des données;
-
modification du règlement d'accès;
-
changement de structure dans l'organisation ou l'administration de l'Hôpital universitaire de Zurich;
10
Délai pour l'exécution des charges
A partir de l'entrée en force de l'autorisation, un délai de six mois est accordé à l'Hôpital universitaire de Zurich pour remplir les charges décrits au ch. 8, let. b à e.
3738
11
Fait répréhensible
Celui qui, en vertu de l'art. 321bis CP, aura révélé sans droit un secret professionnel dont il a eu connaissance dans le cadre de son activité pour la recherche dans les domaines de la médecine ou de la santé publique sera puni en vertu de l'art. 321 CP.
12
Voies de recours
Conformément aux art. 33, al. 1, let. c, de la loi fédérale du 19 juin 1992 sur la protection des données (LPD; RS 235.1) et 44 ss de la loi fédérale sur la procédure administrative (LPA; RS 172.021), cette décision peut faire l'objet d'un recours administratif auprès de la Commission fédérale de la protection des données, case postale, 3000 Berne 7, dans un délai de 30 jours dès sa notification ou sa publication dans la Feuille fédérale. Le mémoire de recours doit être produit en deux exemplaires, indiquer les conclusions, motifs et moyens de preuve et porter la signature du recourant ou de son mandataire.
13
Communication et publication
La présente décision est notifiée à l'Hôpital universitaire de Zurich, ainsi qu'au Préposé fédéral à la protection des données.
Le dispositif de cette décision est publié dans la Feuille fédérale. Quiconque a qualité pour recourir peut, sur rendez-vous et pendant la durée du délai de recours, prendre connaissance des considérants de cette décision au Secrétariat de la Commission d'experts, Office fédéral de la santé publique, Division juridique, 3003 Berne, (tél.: 031/322 9494).
25 juillet 2000
Commission d'experts du secret professionnel en matière de recherche médicale Le président, prof., Dr. iur Franz Werro
3739